有没有办法使cookie安全和/或仅http-only而不使用这样的response.setHeader
:
response.setHeader("Set-Cookies",
"name1=value2; Path=/path; Secure; HttpOnly," +
"name2=value2; Expires=Sun, 03-Jun-2012 23:00:56 GMT; Path=/, etc.");
但是使用一些内置功能?
附言我不是在谈论会话 cookie,而是应用程序使用的自定义 cookie。
检查 javadoc。有一个HttpServletResponse#addCookie()
.您的特定示例可以按如下方式解决:
Cookie name1 = new Cookie("name1", "value1");
name1.setPath("/path");
name1.setSecure(true);
name1.setHttpOnly(true);
Cookie name2 = new Cookie("name2", "value2");
name2.setPath("/");
name2.setMaxAge(secondsUntil3Jun2012);
response.addCookie(name1);
response.addCookie(name2);